Laut einer Ende Juni 2026 veröffentlichten technischen Analyse aktivierte Claude Code eine versteckte Erkennung, sobald Anfragen nicht über Anthropics eigene Server, sondern über einen selbst gesetzten API-Endpunkt (Umgebungsvariable ANTHROPIC_BASE_URL) liefen. Das Werkzeug las dann die System-Zeitzone (u. a. Asia/Shanghai und Asia/Urumqi) und glich den Proxy-Hostnamen gegen eine verschleierte Liste von 147 Einträgen ab – chinesische Firmennetze, Cloud-Regionen, KI-Labore sowie zahlreiche Reseller- und Mirror-Dienste für die Claude-API. Eine zweite Liste enthielt elf KI-Labor-Schlüsselwörter (darunter deepseek, moonshot, minimax, zhipu, baichuan, stepfun, dashscope), base64-kodiert und zur Laufzeit per XOR mit dem Schlüssel 91 entschlüsselt.
Das Klassifikationsergebnis wurde anschließend als unsichtbare Unicode-Varianten in der Zeile „Today’s date is …“ des System-Prompts kodiert und so bei jeder Anfrage verdeckt an Anthropic übermittelt – ohne sichtbaren Hinweis für die Nutzerinnen und Nutzer. Der Code wurde der Analyse zufolge in Version 2.1.91 (2. April 2026) eingeführt und war noch in späteren 2.1.x-Versionen aktiv.
Thariq Shihipar aus dem Claude-Code-Team ordnete den Mechanismus öffentlich als „ein Experiment ein, das wir im März gestartet haben“ und das Account-Missbrauch durch nicht autorisierte Reseller sowie die Distillation der Modelle verhindern sollte. Man habe stärkere Gegenmaßnahmen eingeführt und werde die Funktion in der nächsten Version „vollständig zurücknehmen“.
Einordnung: Die Angaben zum Mechanismus stammen aus der ursprünglichen technischen Analyse und wurden von mehreren Fachmedien unabhängig nachgezeichnet; eine amtliche oder vollständige Aufarbeitung durch Anthropic über die zitierte Stellungnahme hinaus lag zum Zeitpunkt der Veröffentlichung nicht vor. Für den Werkzeug-Katalog der KI-Depesche ist der Vorgang auf der Claude-Code-Seite als datierte kritische Stimme vermerkt.